Już prawie skończyliśmy naszą serię Geek School na temat narzędzi SysInternals, a dzisiaj porozmawiamy o wszystkich narzędziach, które pomogą ci radzić sobie z plikami i folderami - niezależnie od tego, czy znajdziesz ukryte dane, czy bezpiecznie usuniesz plik.
NAWIGACJA SZKOLNAW zestawie narzędzi znajduje się sporo narzędzi, które zajmują się różnego rodzaju rzeczami związanymi z plikami lub folderami lub znajdowaniem danych, o których istnieniu nie było, a jest ich kilka, które są trochę po stronie głupich. Tak czy inaczej, omówimy je wszystkie.
Najważniejsze narzędzia związane z plikami w zestawie do nauki to prawdopodobnie narzędzia Sigcheck i Streams, ale dobrze byłoby dokładnie je przeczytać.
Większość ludzi nie wie o tej funkcji, ale Windows pozwoli ci przechowywać dane w ukrytym przedziale w systemie plików zwanym alternatywnymi strumieniami danych. Zasadniczo działa to poprzez dodanie dwukropka i unikalnego klucza na końcu nazwy pliku podczas interakcji z nim.
Na przykład, jeśli chcesz ukryć niektóre dane w pliku, możesz zrobić coś takiegoecho Sekret> filename.txt: hiddenstuffa nawet jeśli otworzysz ten plik tekstowy w Notatniku, nie zobaczysz dodanego "tajnego" tekstu i nie będzie innego sposobu, aby się dowiedzieć, że nawet tam był. W rzeczywistości możesz zrobić prawie wszystko, co chcesz, używając tej techniki. (Koniecznie przeczytaj nasz artykuł na ten temat, aby uzyskać pełne wyjaśnienie).
Jest to również technika, która pozwala Windows w magiczny sposób wiedzieć, że pliki zostały pobrane z Internetu, ukrywając dane w polu Zone.Identifier. W rzeczywistości możesz usunąć ten alternatywny strumień danych za pomocą narzędzia strumieniowego.
Składnia jest prosta - aby wyświetlić strumienie, wpisz następujące polecenie w monicie:
strumienie
Możesz także użyć "strumieni * .exe" lub czegoś podobnego, aby zobaczyć wszystkie pliki z ukrytymi danymi strumieniowymi, jeśli takie istnieją. Najszybszym sposobem, aby coś zobaczyć, jest wejście do katalogu pobierania i uruchomienie go.
Aby usunąć jeden ze strumieni lub wiele z nich, możesz użyć opcji -d:
strumienie -d
Możesz także użyć opcji -s, aby rekursywnie przechodzić do podkatalogów.
To bardzo użyteczne narzędzie analizuje cyfrowe podpisy plików w systemie i informuje, czy są one ważne lub brakuje certyfikatu. Możesz również użyć go do sprawdzenia plików w programie VirusTotal z poziomu wiersza poleceń, co jest wygodne, ponieważ to jest prawdziwy punkt tego narzędzia, polega na wyszukiwaniu złośliwego oprogramowania.
Normalną i najbardziej użyteczną składnią jest dodanie przełącznika -u, który zgłasza tylko problemy, oraz przełącznika -e, który sprawdza tylko pliki wykonywalne. Możesz więc uruchomić coś takiego, aby sprawdzić katalog system32 i upewnić się, że wszystkie pliki są podpisane cyfrowo. Coś innego powinno być dokładnie zbadane.
sigcheck -e -u C: \ Windows \ System32
Możesz także skorzystać z opcji -v, aby uzyskać dodatkową kontrolę przeciwko VirusTotal, ale będziesz musiał użyć opcji -vt po raz pierwszy, aby zaakceptować ich warunki.
sigcheck -v -vt
Jeśli jesteś typem paranoidalnym, będziesz zadowolony, że możesz bezpiecznie wymazać pliki z wiersza poleceń w dowolnym momencie. Po prostu użyj narzędzia sdelete, aby złamać plik za pomocą zgodnych z DoD protokołów usuwania. (Oczywiście NSA prawdopodobnie nadal ma kopię twojego pliku). Składnia jest prosta:
sdelete
Alternatywnie można wyczyścić wolne miejsce na dysku za pomocąsdelete -copcja, która potrwa dłużej, ale jest dobrym rozwiązaniem, jeśli zapomniałeś użyć sdelete do usunięcia pliku w pierwszej kolejności.
Jeśli chcesz defragmentować tylko jeden plik lub listę plików, możesz użyć programu Contig, aby to zrobić. Oczywiście nie musisz defragmentować plików we współczesnych wersjach systemu Windows, które wykonują to automatycznie. I tak, jeśli używasz dysku SSD, nigdy nie powinieneś defragmentować ani go nie potrzebujesz. Ale jeśli absolutnie, pozytywnie, musisz defragmentować pojedynczy plik, to jest to narzędzie do tego. Składnia jest prosta:
contig
Jeśli chcesz przeanalizować fragmentację pliku, nie robiąc nic, możesz użyć przełącznika -a, jak pokazano poniżej:
Warto zauważyć, że nawet jeśli plik jest pofragmentowany, jeśli plik jest bardzo duży i jest podzielony na kilka dużych kawałków, nic nie zyskasz dzięki defragmentacji i zmarnujesz więcej czasu na nękanie, niż zaoszczędzisz.
Zawsze możesz kliknąć prawym przyciskiem myszy dowolny plik lub folder w Eksploratorze Windows i wybrać Właściwości lub użyć skrótu klawiaturowego ALT + ENTER, aby zobaczyć rozmiar pliku lub folderu. Ale co jeśli chcesz zobaczyć te dane z wiersza poleceń? To tutaj pojawia się narzędzie du, a także jest ono nieco bardziej dokładne, ponieważ nie liczy symbolicznych połączonych plików i sprawdza również alternatywne strumienie danych.
Opcja -n sprawdza tylko jeden folder, bez rekursji do podkatalogów, podczas gdy opcja -v rekurencyjnie i pokazuje każdy katalog podczas przeglądania listy, a opcja -l (n) sprawdza poziom "n" głęboko.Jak w, -l 2 sprawdzi 2 poziomy głębokości.
Czy zastanawiałeś się kiedyś, dlaczego instalacje aplikacji powodują ponowne uruchomienie komputera? Odpowiedź jest zwykle taka, że chcą przenieść niektóre pliki, które nie mogą być przenoszone podczas pracy systemu Windows, więc używają wbudowanej funkcji systemu Windows, która obsługuje przenoszenie lub usuwanie plików przy ponownym uruchomieniu komputera.
Jedyne, co musisz zrobić, to uruchomić polecenie, a następnie wypisze dane. Dlaczego jest planowana kopia Eksploratora procesów do przeniesienia do folderu Windows przy następnym uruchomieniu? Czytaj.
Narzędzie to wykorzystuje wbudowaną funkcję systemu Windows do planowania przenoszenia, usuwania lub zmiany nazwy pliku lub katalogu, tak aby stało się to podczas następnego cyklu ponownego uruchamiania, zanim system Windows zostanie w pełni załadowany. Składnia jest naprawdę prosta:
movefile
Jeśli chcesz usunąć plik, możesz użyć pustego miejsca docelowego, używając cudzysłowów, takich jakmovefile "".Jak widać na zrzucie ekranu poniżej, użyliśmy polecenia Movefile, aby zaplanować przeniesienie eksploratora procesów do katalogu Windows, aby pokazać, jak to wszystko działa.
System Windows obsługuje dowiązania symboliczne do plików i folderów, dzięki czemu można mieć więcej niż jeden punkt ścieżki do tego samego pliku, aby zaoszczędzić miejsce, zamiast wielu kopii pliku. Pomysł jest podobny do skrótów, z wyjątkiem tego, że jest on na poziomie systemu plików i wbudowany w NTFS.
Narzędzie Junction umożliwia łatwe tworzenie i usuwanie tych łączy. Możesz również usunąć je za pomocąjunction -d.
węzeł
Rzeczywistość jest jednak taka, że Windows od Visty miał możliwość tworzenia dowiązań symbolicznych za pomocą polecenia mklink, a równie dobrze można z niego skorzystać.
To małe narzędzie znajduje wszystkie twarde linki wskazujące na plik. Dowiązania twarde różnią się od dowiązań symbolicznych tym, że usunięcie jednego twardego linku w rzeczywistości nie powoduje usunięcia pliku, jeśli jest więcej twardych linków do tego pliku, po prostu wydaje się usuwać go, dopóki nie usuniesz wszystkich twardych linków. Po usunięciu końcowego linku twardego plik zostanie usunięty.
Uwaga: może to być rzeczywiście interesujący sposób, aby upewnić się, że dany plik nie jest naprawdę usunięty przez kogoś, kto ma zwyczaj usuwania plików. Po prostu utworzymy twardy link do wszystkich plików, których nie chcesz, aby zostały utracone.
W każdym razie możesz z łatwością użyć tego polecenia:
findlinks
Jedynym problemem jest to, że Windows 7 i 8 mają wbudowane polecenie, które robi to samo. Użyj tego zamiast:
Lista hardlink fsutil
Uwaga:Zawsze lepiej nauczyć się korzystać z wbudowanych rzeczy, kiedy to możliwe, ponieważ nigdy nie wiesz, kiedy będziesz musiał coś zrobić na komputerze kogoś innego, jeśli nie masz swojego zestawu narzędzi.
To narzędzie umożliwia bardzo szczegółowe oglądanie struktury dysku twardego, a nawet przybliżenie obrazu i wybranie pliku do zaznaczenia na liście, aby można było zobaczyć, gdzie znajduje się dany plik na dysku, a także Sprawdź, czy jest fragmentaryczny, czy nie. To nie jest bardzo przydatne dla większości ludzi, ale mam nadzieję, że masz scenariusz, w którym być może będziesz musiał go użyć.
To narzędzie tworzy klon dysku twardego komputera podczas jego działania i łączy go w plik wirtualnego dysku twardego, który może być używany na maszynie wirtualnej. I robi to, gdy komputer jest uruchomiony.
Zgadza się, możesz utworzyć maszynę wirtualną swojego dysku twardego, gdy twój komputer jest uruchomiony. Może to być również przydatne w przypadku scenariuszy, w których chcesz przeprowadzić analizę sądową komputera, ale na własnym komputerze - możesz po prostu utworzyć klon, a następnie uruchomić go jako maszynę wirtualną.
Opcja dla Vhdx mówi Disk2vhd, aby używał nowszego formatu pliku VHDX zamiast formatu pliku VHD, który miał wiele ograniczeń. Domyślnie Disk2vhd tworzy oddzielne pliki dla każdego fizycznego dysku, ale umieszcza partycje w tym samym pliku. Jeśli po prostu planujesz dołączyć ten plik VHD do innej maszyny wirtualnej lub po prostu zamontować go na zwykłym komputerze z systemem Windows, możesz odznaczyć partycje, których nie potrzebujesz na liście. Jeśli planujesz zrobić z tego maszynę wirtualną, prawdopodobnie powinieneś zostawić wszystko sprawdzone.
Plik wyjściowy VHD może zostać umieszczony na tym samym dysku, na którym tworzysz kopię, ale zalecamy, aby użyć drugiego dysku, jeśli to możliwe, aby wszystko działało szybciej.
To narzędzie umożliwia defragmentację plików systemowych podczas rozruchu, ale ponieważ nie działa w najnowszych wersjach systemu Windows, należy go pominąć.
To narzędzie po prostu synchronizuje wszystkie dane z pamięci podręcznej na dysk, aby upewnić się, że wszystkie zmiany plików są zapisywane na dysku i nie są przechowywane gdzieś w jakimś buforze. Oczywiście powinieneś zawsze używać opcji Bezpieczne usuwanie, jeśli chcesz mieć pewność, że nie stracisz danych podczas przeciągania dysku flash.
To narzędzie pokazuje rzeczywistą aktywność dysku twardego dzieje się w czasie rzeczywistym - sektory, czyta, pisze, długość danych, to wszystko. Jedynym problemem jest to, że większość ludzi nie jest zbyt użyteczna.
Co może być bardziej przydatne, może to monitor dysku "Tray Disk Light", który można wybrać z menu Options. Po włączeniu tego trybu przesunie się do zasobnika systemowego i zacznie migać na czerwono podczas zapisywania, zielony dla odczytów lub pozostanie szary, gdy nic się nie dzieje.
Gdyby tylko ikona pasowała do systemu Windows 8 nieco lepiej.
Czy zauważyłeś, że każdy napęd ma numer seryjny, który wygląda jak 064B-1E81 lub coś równie nieinteresującego? Jeśli chcesz zmienić ten numer seryjny na coś fajniejszego, możesz to zrobić za pomocą narzędzia VolumeID o następującej składni:
volumeid XXXX-XXXX
Pamiętaj, że składnia wymaga użycia znaków szesnastkowych, więc nie możesz wpisać GEEK-1337, tak jak my, ponieważ to po prostu nie zadziała.
Jutro zamierzamy zakończyć serię spojrzeniem na niektóre z narzędzi, które przeoczyliśmy, a także wskazówki dotyczące wspólnego korzystania ze wszystkich narzędzi i kiedy należy wyciągnąć każde narzędzie.